Jest to Trojan-Downloader wyposażony w funkcje wirusa pozwalające na infekowanie plików EXE.

Szkodnik umieszcza dwie kopie w folderze systemowym Windows: web.exe oraz soft.exe i tworzy następujące wpisy w rejestrze systemowym:

[HKLMSOFTWAREMicrosoftWindowsCurrentVersion un]
"Web Service"="%System%losowa bazwa"

[HKCUSOFTWAREMicrosoftWindows NTCurrentVersion un]
"run"="%System%soft.exe"

[HKCUSOFTWAREMicrosoftWindowsCurrentVersion un]
"Web Service"="%System%losowa bazwa"

[HKEY_CURRENT_USERSoftwareMicrosoftActive Setup
Installed Components{08B0E5C0-4FCB-11CF-AAA5-00401C608500}]
"StubPath"="%System%soft.exe"

Po dokonaniu infekcji trojan dodaje do pliku wininit.ini następującą treść:

[rename]
%System%explorer.exe=%System%explorer.new

W rezultacie w systemie funkcjonuje zainfekowany proces Explorer.exe, który wyłącza wbudowaną zaporę ogniową systemu Windows XP, dezaktywuje system Windows Update i pobiera zaszyfrowane dane ze strony WWW. Dane te zawierają listę kolejnych trojanów i wirusów, które następnie są instalowane na zainfekowanym komputerze. Trojan.Admincash (Symantec),   Trojan.Unsecure (Doctor Web),   Trj/Downloader.OZ (Panda),   NewHeur_PE (Eset)